19 settembre, 2007

Il nuovo Firefox 2.0.0.7 corregge la vulnerabilità del plugin QuickTime

di Percy Cabello

Mozilla ha pubblicato un aggiornamento per Firefox che risolve una grave vulnerabilità che ha colpito il plugin QuickTime di Apple. Questa vulnerabilità gestirebbe in modo errato i file di comando (.qtl) che vengono interpretati come file multimediali (ad esempio .mp3), non utilizzando le interfacce a livello di sistema operativo per richiamare il browser predefinito e consentendo dunque l'utilizzo di siti web non sicuri come parametri.

Per impedire questo comportamento e altri possibili attacchi che sfruttino queste applicazioni sviluppate in modo così scadente, Mozilla ha scelto di ridurre, in nome della sicurezza, le possibilità a linea di comando di Firefox. In due parole, il parametro chrome non può essere utilizzato con gli indirizzi web che iniziano con javascript: oppure con data:

Secondo le informazioni di sicurezza per QuickTime 7.1.5, pubblicate all'inizio di quest'anno, il parametro qtnext nei file .qtl dovrebbe solo consentire gli indirizzi http: e https: (e file:// per i file .qtl aperti in locale). Se questa protezione fosse stata attiva, non ci sarebbe stata alcuna vulnerabilità di sicurezza. Dovremo attendere che Apple risolva di nuovo questo problema nel prossimo aggiornamento di QuickTime.

Come al solito, potete attendere l'avviso di aggiornamento di Firefox entro 48 ore oppure forzarlo manualmente cliccando la voce Controllo aggiornamenti... nel menu ?

Nessun commento: